业务安全学习笔记–前言 – 作者:hu666666

行业安全问题的思考

目前，随着互联网的发展，传统行业也逐渐与互联网挂钩，形成各种各样的网上业务。由于这些业务涉及大量的用户隐私信息，导致其成为了黑客攻击的首要目标。

由于开发人员的安全意识薄弱，只注重web应用的功能性，而忽略了其安全的重要性，导致业务逻辑漏洞（主要是开发人员业务流程涉及缺陷导致的）层出不穷。

为什么业务逻辑漏洞成为黑客攻击的主要目标？

第一点：这些业务逻辑漏洞具有更高的价值，涉及用户的个人隐私，交易数据篡改等

第二点：由于开发人员的传统漏洞(SQL注入，XSS，SSRF等)的警惕，以及有较为安全的防护机制和设备，导 致对传统漏洞挖掘的难度比较大，导致黑客转向对业务逻辑漏洞的挖掘

第三点：目前没有较好的安全防护措施，可以防护业务逻辑漏洞

如何学习业务安全

第一点：掌握一套成熟的业务安全测试方法

第二点：了解目标平台的业务流程。在进行安全测试之前，对目标平台的业务流程进行一次完整的梳理

可以将业务分层成几大块，再将每个大模块分成小模块，然后再依次进行安全测试

第三点：要对目标公司或组织的实际业务有一定了解，了解目标的重要资产是什么，这样安全测试更具有针对性

推荐的两种测试技巧

在实践层次，推荐以下两种测试手法：

第一种：科学的测试手法。常规的方法有控制变量法，删减法等

第二种：学会使用思维导图，这样可以更方便的建立目标的业务流程以及不同业务之间的联系

来源：freebuf.com 2021-05-13 14:33:26 by: hu666666